审核生成
C2 级安全要求指定系统管理员必须能够审核与安全相关的事件,并且必须仅限授权管理员访问此审核数据。 Windows API 提供的功能使管理员能够监视与安全相关的事件。
安全对象的安全描述符可以具有 系统访问控制列表 (SACL) 。 SACL 包含 访问控制条目 (ACE) ,用于指定生成审核报告的访问尝试类型。 每个 ACE 标识一个受托人、一组访问权限和一组标志,这些标志指示系统是为失败的访问尝试和/或成功的访问尝试生成审核消息。
系统会将审核消息写入安全事件日志。 有关访问安全事件日志中的记录的信息,请参阅 事件日志记录。
若要读取或写入对象的 SACL,线程必须先启用SE_SECURITY_NAME特权。 有关详细信息,请参阅 SACL 访问权限。
Windows API 还支持服务器应用程序在客户端尝试访问专用对象时生成审核消息。 有关详细信息,请参阅 审核对专用对象的访问。